win 2003 + outpost firewall + nat

[Shumsky]

Доброго времени суток. Коротко о главном: решила некая организация на своих мощностях сделать вэб сервер. Решено поднять на фряхе. Но тут есть один недостаток: в мир должен смотреть win 2003 (хрен знает почему, может религия не позволяет?), который и раздает интернеты в локалку. У аутпоста куплена лицензия на год, ставить что-то другое нельзя: все лицензионно до безобразия, покупать новый файрволл никто не хочет.
Итак, что необходимо: пробросить 80, 22, 21 на фрюшный сервер. Какие будут предложения? (в виндах не силен, так-что если есть что-то явное - прошу указать)

[Gobzavr]

Outpost какой? Personal? Портмап через ICS - не?

[Shumsky]

Outpost какой? Personal? Портмап через ICS - не?

Personal, как не печально. По поводу ICS сейчас погуглю

[Gobzavr]

Нахрена это на сервер?

[Shumsky]

Нахрена это на сервер?

умные люди подсказали купить. Купили самое дешевое

[tvn2009]

раз в виндах не сильны, вам самое оно юзать это wipfw. (Портированный из никсов, что-то вроде фрибздешного ipfw)

http://wipfw.sourceforge.net/index-ru.html

PS Оутпост на сервере юзать ИМХО бред

[aav33]

Доброго времени суток. Коротко о главном: решила некая организация на своих мощностях сделать вэб сервер. Решено поднять на фряхе. Но тут есть один недостаток: в мир должен смотреть win 2003 (хрен знает почему, может религия не позволяет?), который и раздает интернеты в локалку. У аутпоста куплена лицензия на год, ставить что-то другое нельзя: все лицензионно до безобразия, покупать новый файрволл никто не хочет.
Итак, что необходимо: пробросить 80, 22, 21 на фрюшный сервер. Какие будут предложения? (в виндах не силен, так-что если есть что-то явное - прошу указать)

Извращенцы.
Поднимите просто на 2003 вебсервер и не парьте мозги, без всяких пробросов.
Встроенного файрволла вполне хватает для обеспечения безопасности.
Совсем другое дело что не стоило бы поднимать внутренние ресурсы на машине, которая непосредственно смотрит в мир, при том ещё и является вебсервером.
ПОТЕНЦИАЛЬНО это небезопасно, поэтому не рекомендуется, но в принципе можно реализовать такую конфигурацию и всё будет работать вполне надёжно.

Если так уж нужен портмаппинг - покопайте в RRAS. Не уверен, но кажется там как-то можно сделать.

[Gobzavr]

покопайте в RRAS. Не уверен, но кажется там как-то можно сделать.

Да можно-можно. Я еще во втором посте предложил

[tvn2009]

Извращенцы.
Поднимите просто на 2003 вебсервер и не парьте мозги, без всяких пробросов.

Ага, особенно если это Apache+php+mysql (судя из первого поста это именно так), при неумелом разграничении прав пользователей с помощью любого php-шного файлового менеджера можно получить полный доступ ко всему диску, увалить сервер, стянуть важную инфу и т.п.
Только порты мапить...

[Shumsky]

Извращенцы.
Поднимите просто на 2003 вебсервер и не парьте мозги, без всяких пробросов.
Встроенного файрволла вполне хватает для обеспечения безопасности.
Совсем другое дело что не стоило бы поднимать внутренние ресурсы на машине, которая непосредственно смотрит в мир, при том ещё и является вебсервером.
ПОТЕНЦИАЛЬНО это небезопасно, поэтому не рекомендуется, но в принципе можно реализовать такую конфигурацию и всё будет работать вполне надёжно.
Если так уж нужен портмаппинг - покопайте в RRAS. Не уверен, но кажется там как-то можно сделать.

Угу, только вот в чем бида: не хочу я на том-же физическом железе поднимать вэб сервер, ой как не хочу. Да и нагрузка на него не маленькая и так, с вэб сервером вообще неинтересно будет.

Ага, особенно если это Apache+php+mysql (судя из первого поста это именно так), при неумелом разграничении прав пользователей с помощью любого php-шного файлового менеджера можно получить полный доступ ко всему диску, увалить сервер, стянуть важную инфу и т.п.
Только порты мапить...

ну, под фрей будет нгинкс, как ни странно.

[tvn2009]

ну, под фрей будет нгинкс, как ни странно.

Ну под фрей бывает и апач живет
Пробовали wipfw? ИМХО оптимальный вариант в вашем случае

[aav33]

Ага, особенно если это Apache+php+mysql (судя из первого поста это именно так), при неумелом разграничении прав пользователей с помощью любого php-шного файлового менеджера можно получить полный доступ ко всему диску, увалить сервер, стянуть важную инфу и т.п.
Только порты мапить...

А никто не говорит что надо делать с неумелым разграничением.
Надо делать с умелым.
А вообще-то ТЗ построено так что хочется и рыбку съесть и на... Ну короче чтобы волки сыты и овцы целы.
Если хотят правильно - надо ставить пограничный файрволл, желательно с инспекцией протоколов, intrusion detection и т.п.. TMG например.
Потом поднимается DMZ зона, куда выносятся сервера.
Потом делается паблишинг...
В таком случае всё работает железобетонно.

Если так уж всё печально, надо поставить небольшую машинку, поднять на ней какой-нибудь фришный файрволл и NAT (или купить аппаратную железку, я ж не знаю какая там нагрузка), а за ним уже ваять вебсерверы и офисный файлопомойки.

Короче, может быть проще пригласить опытного сисадмина?

[Shumsky]

А никто не говорит что надо делать с неумелым разграничением.
Надо делать с умелым.
А вообще-то ТЗ построено так что хочется и рыбку съесть и на... Ну короче чтобы волки сыты и овцы целы.
Если хотят правильно - надо ставить пограничный файрволл, желательно с инспекцией протоколов, intrusion detection и т.п.. TMG например.
Потом поднимается DMZ зона, куда выносятся сервера.
Потом делается паблишинг...
В таком случае всё работает железобетонно.

Если так уж всё печально, надо поставить небольшую машинку, поднять на ней какой-нибудь фришный файрволл и NAT (или купить аппаратную железку, я ж не знаю какая там нагрузка), а за ним уже ваять вебсерверы и офисный файлопомойки.

Короче, может быть проще пригласить опытного сисадмина?

опытный админ у нас - мой шеф, но он тоже фрюшник. А по поводу виндов... По сути без лишнего хвастовства скажу, что после школы уважаемого Гобза я тут могу претендовать на звание виндового гуру. Тут даже в крупном сервисе не умеют накатывать апдейты, так-что о какой 2003й может быть речь?
В принципе с руководство уже все решили: первой будет стоять фря, она-же шлюз, нат и прочие полезные для здоровья вещи. Но все-равно спасибо за помощь

[aav33]

опытный админ у нас - мой шеф, но он тоже фрюшник. А по поводу виндов... По сути без лишнего хвастовства скажу, что после школы уважаемого Гобза я тут могу претендовать на звание виндового гуру. Тут даже в крупном сервисе не умеют накатывать апдейты, так-что о какой 2003й может быть речь?
В принципе с руководство уже все решили: первой будет стоять фря, она-же шлюз, нат и прочие полезные для здоровья вещи. Но все-равно спасибо за помощь

На любые оси, особенно если они работают в инете, жизненно необходимо накатывать апдейты.
Это ясно как божий день и не может обсуждаться.
Ессно, не рассматриваем случаи когда всё закрыто и выключено: это не эксплуатация оси.
По крайней мере я накатывал апдейты ещё на вин-98 в конце 90-хю
Чего уж тут говорить про серваки.
У меня на них накатываются патчи в течении пары дней после выхода обязательно.
Если они необходимы конечно.

> так-что о какой 2003й может быть речь?

Не очень понял к чему это?
2003 - нормальная ось для своих задач.

P.S. Всегда пожалуйста.

А я так и не понял, где будет вебсервер?

[Gobzavr]

Если они необходимы конечно.

Как определить необходимость, если оно все работает? Не будет ли это противоестественно первому святому завету "Работает - не трожь!"?

[aav33]

Как определить необходимость, если оно все работает? Не будет ли это противоестественно первому святому завету "Работает - не трожь!"?

Ну, коллега, а как вы думаете?
Если вышел патч, закрывающий критическую уязвимость к веб-серверу (это чтобы в тему топика), а у вас на сервере он используется - ставить его или нет?
А вот если вышел патч, который подправляет переход на летнее время в какой-нибудь дыре типа Конго или чего-то в таком духе - расставлять его на все серваки или нет?
Ваш покорный слуга имеет нехорошую привычку смотреть аннотации к фиксам и принимать решение, ставить их или нет.

Идея моя понятна?

P.S. Чего не спишь в такое время?

[Shumsky]

На любые оси, особенно если они работают в инете, жизненно необходимо накатывать апдейты.
Это ясно как божий день и не может обсуждаться.
Ессно, не рассматриваем случаи когда всё закрыто и выключено: это не эксплуатация оси.
По крайней мере я накатывал апдейты ещё на вин-98 в конце 90-хю
Чего уж тут говорить про серваки.
У меня на них накатываются патчи в течении пары дней после выхода обязательно.
Если они необходимы конечно.

> так-что о какой 2003й может быть речь?

Не очень понял к чему это?
2003 - нормальная ось для своих задач.

P.S. Всегда пожалуйста.

А я так и не понял, где будет вебсервер?

сервер будет на freebsd, как и планировалось изначально. Только сначала хотели фряху разместить ЗА 2003м, вот почему поднялся вопрос про нат.
По поводу "Не очень понял к чему это? 2003 - нормальная ось для своих задач.": я не фанат никсов, винда для своих задач хорошо, не спорю. Я просто описывал квалификацию местных работников сервисов.

[Gobzavr]

Идея моя понятна?

P.S. Чего не спишь в такое время?

Не спалось. Но в целом ясно